Gunicorn: Gunicorn solicita vulnerabilidade de contrabando e versão 19.10

Criado em 28 abr. 2021 · 5Comentários · Fonte: benoitc/gunicorn

Olá, estou analisando falhas nas verificações de segurança para meus próprios projetos que têm dependências do Gunicorn 19.10.
Abri este problema relacionado https://github.com/apache/airflow/issues/15570 , mas agora estou aqui para esclarecimentos.

Qual é o estado atual do 19.10?
Este CVE diz que as versões 19.10 e 20.0.1 corrigiram a vulnerabilidade de contrabando de solicitações.

No entanto, a versão 19.10 tem uma compilação com falha no PyPI https://pypi.org/project/gunicorn/19.10.0/
E 19.10 não tem notas de lançamento https://github.com/benoitc/gunicorn/releases

Nota: É possível que este seja um problema com meu banco de dados de vulnerabilidades Segurança https://github.com/pyupio/safety-db/blob/master/data/insecure_full.json#L8507

Resumindo: o 19.10 é estável e seguro?

Fonte

CoburnJoe

Todos 5 comentários

19.10 tem notas de lançamento no changelog . parei de usar isso
recurso do github. Builds com falha são devido a essa porcaria de travis ci e test
nas janelas. No próximo mês o IC será movido para um serviço melhor.

Quanto a este CVE, este não foi aberto por nós, então aparentemente algumas pessoas estão
mais informado do que eu. Em qualquer caso, esta «questão» não está presente em 19.10. Esse "CVE" está correto.

benoitc em 28 abr. 2021

👍1

@benoitc Obrigado pela resposta rápida!
Isso responde perfeitamente às minhas perguntas.

Para referência, 19.10 é sinalizado como inseguro pelo Pipenv/Safety, mas vou passar para lá agora para ver uma atualização do banco de dados :)

CoburnJoe em 28 abr. 2021

@benoitc Obrigado pela resposta rápida!
Isso responde perfeitamente às minhas perguntas.
Para referência, 19.10 é sinalizado como inseguro pelo Pipenv/Safety, mas vou passar para lá agora para ver uma atualização do banco de dados :)

o afaik 20.1.0 é estável e seguro. Esta é a versão atual com suporte. A ramificação 19.x está um pouco obsoleta.

benoitc em 28 abr. 2021

👍1

o afaik 20.1.0 é estável e seguro. Esta é a versão atual com suporte. A ramificação 19.x está um pouco obsoleta.

Sim, mas o Airflow está solicitando versões entre 19.5.0 e 20.0, que é o projeto que estou usando, então tive que verificar - obrigado novamente (bastante refrescante para obter respostas tão rápidas)

CoburnJoe em 28 abr. 2021

Obrigado @CoburnJoe por perguntar e @benoitc por responder. De fato, o Airflow 2.x usa limitação <20, mas toda a discussão me levou a investigar o porquê (especialmente a linha 1.10 já mudou para 20.). Provavelmente irei atualizá-lo em breve e mudar para 20. Linha de versões :)